CYBER FORENSICS E INDAGINI DIGITALI - Manuale tecnico-giuridico e casi pratici CASI PRATICI - Giappichelli
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
CYBER FORENSICS
E INDAGINI DIGITALI
Manuale tecnico-giuridico e casi pratici
CASI PRATICI
Estratto
G. Giappichelli Editore
INDICE DEI CASI PRATICI
a cura di Francesco Cajani
pag.
Capitolo 4 – LA RICEZIONE DELLA NOTITIA CRIMINIS E I PRIMI ATTI DI INDAGINE
1. Presenza/assenza della condizione di procedibilità – il cd. processo Fineco
2. L’ambito operativo degli accertamenti di polizia giudiziaria relativi alla falsificazione delle carte di
credito
3. Un arresto in flagranza in caso di phishing
4. Truffa tradizionale vs. truffa on line
5. Attacco informatico al Pio Albergo Trivulzio di Milano 35
6. La pericolosità del truffatore seriale
Capitolo 5 – GIURISDIZIONE E COMPETENZA NELLE INDAGINI INFORMATICHE
7. Coolstreaming.it – un sistema di peer to peer TV
8. La struttura di una associazione dedita alla commissione di reati di phishing e i problemi di competen-
za territoriale connessi ad ipotesi di cyber-riciclaggio
Capitolo 7 – L’ACQUISIZIONE DEI DATI DEL TRAFFICO
PARTE II: TABULATI TELEFONICI E LOG FILES
9. Tabulati telefonici – l’indagine sul rapimento di Abu Omar
10. Una telefonata poco prima dell’accesso ad una ‘wifi bucata’ 103
11. Il ‘blog anti-premier’ e il paradosso della privacy 113
12. Una ipotesi concreta di acquisizione di log files presso gli ISP italiani
Capitolo 9 – LE RICHIESTE PER FINALITÀ DI GIUSTIZIA RIVOLTE AGLI INTERNET PROVIDERS
ESTERI
13. Quale regime giuridico per le chiamate VOIP?
14. Le indagini relative alla scomparsa dell’imprenditore Roveraro
Capitolo 12 – I “NUOVI” STRUMENTI DI INDAGINE
15. Le e-mail traccianti e il processo Svanityfair
Capitolo 15 – LE “NUOVE FRONTIERE” DELL’INVESTIGAZIONE DIGITALE ALLA LUCE DELLA
LEGGE N. 48/2008, OVVERO: QUELLO CHE LE NORME (ANCORA) NON DICONO
16. Analisi forense di computer portatili con cifratura dell’intero hard disk
17. Accesso alla casella di posta elettronica @yahoo.com in uso all’indagato, durante l’interrogatorio del
PM
S. ATERNO, F. CAJANI, G. COSTABILE, D. CURTOTTI
CYBER FORENSIC ED INDAGINI DIGITALI
Giappichelli Editore, 2021
CASO PRATICO N. 5
Attacco informatico al Pio Albergo Trivulzio di Milano
a cura di F. CAJANI
Cap. 4 - LA RICEZIONE DELLA NOTITIA CRIMINIS E I PRIMI ATTI DI INDAGINE
Par. 11 – Furto di identità sul web
All’esito di una complessa indagine condotta dalla polizia postale di Milano, si è arrivati a ricostruire
compiutamente il modus operandi utilizzato per porre in essere un sofisticato attacco informatico (qui sotto
graficamente riassunto nel diagramma di flusso1) e, con esso, ad addivenire alla individuazione del relativo
autore, per il quale veniva richiesta (e concessa dal g.i.p.) la misura cautelare del carcere.
SCHEMA CONCETTUALE DELL ’ ATTACCO AL PIO ALBERGO TRIVULZIO
13 agosto 2011 – 15 agosto 2011
ABITAZIONE
ABITAZIONE
PROVIDER SERVIZI VPN
PROXPN
PROVIDER INTERNET NUOVI
NUOVOIPIP109.203.115.xx
109.203.115.70
LINEACOM ‐ PAVIA
IP 85.88.202.118
RETE AZIENALE PIO ALBERTO TRIVULZIO ACCESSO ALLA RETE
TEAMVIEW
ID 846 389 785
MAINFRAME PC
PCAZIENDALE
AZIENDALE
PIO ALBERGO . M.G
TRIVULZIO TEAMVIEWER SERVICE
Così sul punto l’ordinanza del tribunale di Milano che ha applicato la misura cautelare:2
1 Agli atti dell’indagine e realizzati dalla polizia postale di Milano per una maggiore comprensione della vicenda.
2 Ordinanza 8 novembre 2012 – est. Cantù Rajnoldi.
35
S. ATERNO, F. CAJANI, G. COSTABILE, D. CURTOTTI
CYBER FORENSIC ED INDAGINI DIGITALI
Giappichelli Editore, 2021
Sulla richiesta di data 5.10.2012 (depositata in data 9.10.2012) formulata dal Pubblico Ministero di
applicazione della misura coercitiva della custodia cautelare in carcere per il seguente reato:
p. e p. dagli artt. 81, 61 n° 11, 615 ter commi 1, 2 e 3 c.p. perché, nella qualità di dipendente del Pio Albergo
Trivulzio (PAT) e con abuso di relazione di ufficio, collegandosi – con la user name delfo2000@yahoo.it – ai
servizi di anomizzazione di PROXPN attraverso l’IP 85.88.202.118 (assegnato staticamente al F. dalla società
Lineacom Srl), ottenendo a suo favore l’assegnazione dei seguenti IP ad opera di PROXPN
collegamento inizio fine
13 ago 2011 16.37 16.37 213.179.212.76
13 ago 2011 16.45 16.46 213.179.212.76
13 ago 2011 16.47 17.30 213.179.212.76
13 ago 2011 19.09 21.37 109.203.115.89
13 ago 2011 22.45 02.31 109.203.115.71
14 ago 2011 02.39 03.02 213.179.212.122
14 ago 2011 03.05 03.29 173.231.157.74
14 ago 2011 03.42 04.23 109.203.115.66
14 ago 2011 19.33 20.51 109.203.115.109
14 ago 2011 21.11 21.42 109.203.115.109
14 ago 2011 22.10 22.11 213.179.212.70
14 ago 2011 23.47 23.47 213.179.212.69
15 ago 2011 01.38 01.47 173.0.5.51
ed utilizzando il programma Team Viewer, accedeva abusivamente da remoto con ID 846389785 al sistema
informatico del PAT protetto da misure di sicurezza.
Con le aggravanti che: dal fatto è derivato il danneggiamento di tale sistema informatico, l’interruzione parziale
del suo funzionamento nonché la distruzione dei dati e delle informazioni ivi contenute; trattasi di sistema
informatico relativo alla sanità pubblica e comunque di interesse pubblico.
In Milano dal 13 al 15 agosto 2011.
ORIGINE dell’INDAGINE
Il presente procedimento ha origine dal devastante3 attacco informatico sferrato da anonimi hacker in
prossimità del Ferragosto 2011 (le successive indagini hanno acclarato che detto attacco ha avuto inizio il
13.8.20114 alle ore 14.37 ed è proseguito fino alle 11.14 del 15.8.2011, giorno di Ferragosto) contro il sistema
informatico del PAT (Pio Albergo Trivulzio), meglio noto ai cittadini milanesi come “BAGGINA” (dal nome
del periferico quartiere in cui sorge dal lontano 1910) e formalmente e giuridicamente inserito nell’Azienda di
Servizi alla Persona – Istituti Milanesi Martinitt e Stelline e Pio Albergo Trivulzio (con sede a Milano in
via Marostica n°8), ente pubblico senza scopo di lucro le cui finalità si realizzano precipuamente nei settori
dell’assistenza socio-sanitaria.
Le particolari modalità operative e temporali di detto attacco (il periodo ferragostano è notoriamente
considerato periodo di complessiva e generale stasi delle attività lavorative e quindi ritenuto dagli autori di
condotte illecite [spesso a torto come la presente vicenda dimostra] propizio per la commissione di reati in
3 In data 15.8.2011 M.G. (dipendente PAT con mansioni di amministratore di rete), dopo alcuni controlli operati per verificare
alcuni malfunzionamenti denunciati da utenti esterni, si accorgeva (accedendo da remoto) che qualcuno aveva volutamente operato la
cancellazione di tutte le informazioni raccolte nel sistema, sia quelle inerenti la gestione amministrativa, sia quelle dell’attività
sanitaria. Emergeva in seguito che durante l’intrusione venivano cancellate persino le copie di back-up e le password di accesso
degli amministratori.
4 Va sottolineato che gli ignoti autori dell’attacco sembrano avere scelto con particolare cura il periodo temporale in cui sferrare
l’attracco informatico, posto che il 13 agosto 2011 (giorno di inizio dell’attacco) cadeva di sabato, il 14.8.2011 di domenica ed il 15
(ferragosto e quindi giorno festivo per eccellenza) di lunedì.
36
S. ATERNO, F. CAJANI, G. COSTABILE, D. CURTOTTI
CYBER FORENSIC ED INDAGINI DIGITALI
Giappichelli Editore, 2021
considerazione dell’abbassamento del controllo sociale e dei maggiori intervalli temporali a disposizione per
far perdere le proprie tracce) hanno fin da subito indirizzato gli inquirenti ad approfondire la conoscenza della
struttura interna del PAT deputata alla gestione di detto sistema informatico, snodo nevralgico non solo
per ciò che attiene all’organizzazione dei vari servizi socio assistenziali (come detto in particolare la sede di
via Trivulzio è storicamente destinata dal 1910 al ricovero ed all’assistenza di soggetti anziani totalmente o
parzialmente non autosufficienti), ma anche alla gestione dell’ingente patrimonio immobiliare dell’ente (frutto
di lasciti di abbienti cittadini milanesi ed accresciuto considerevolmente con l’andare del tempo) e dei collegati
appalti per la relativa manutenzione e valorizzazione.
Le indagini condotte fin da subito (sul punto si evidenzia che già in data 18.8.2011 il PM di turno sentiva a
s.i.t. G.E. – direttore dei sistemi informativi del PAT – che aveva sporto denuncia contro ignoti in data
17.8.2011 presso la Polizia di Stato – Compartimento Polizia Postale e delle Comunicazioni per la Lombardia
– in seguito alla rilevata intrusione nella rete informatica aziendale) dalla Polizia Postale di Milano sotto la
direzione ed il coordinamento della Procura della Repubblica di Milano sono consistite inizialmente
nell’assunzione a s.i.t. dei vari soggetti5 a vario titolo coinvolti nella gestione di detto sistema informatico e
nel sequestro in data 18.8.2011 della postazione informatica6 di M.G. (dalla quale sembrava essere partita
l’intrusione), nonché di un secondo computer utilizzato dalla squadra tecnica del PAT come file server (ossia
come repository di file), e nella conseguente analisi forense degli stessi HD, per poi proseguire in data
6.9.2011 nell’acquisizione di documentazione inerente l’organizzazione complessiva del servizio informatico
del PAT.
LA RICHIESTA del PM
La richiesta cautelare del PM – condivisa da questo Giudice – ripercorre in modo dettagliato e puntuale le
risultanze delle indagini.
I fatti assai articolati e complessi recepiti nell’incolpazione preliminare sono emersi a seguito di meticolose e
febbrili indagini (sul punto si evidenzia che alcuni passaggi cruciali per l’identificazione dell’autore di
detto attacco informatico sono stati risolti tramite assistenza rogatoriale e con la decisiva cooperazione
internazionale tra le forze di Polizia) condotte con sapienza e notevole acume investigativo dalla Polizia
Postale di Milano sotto la direzione della Procura della Repubblica di Milano.
Appare opportuno iniziare la trattazione dagli aspetti oggettivi di questa vicenda, riportando di seguito – nei
passaggi salienti e con caratteri grafici diversi – la richiesta del PM, avendone positivamente riscontrato la
puntuale conformità rispetto agli atti di indagine allegati.
In data 17 agosto 2011 la Polizia Postale di Milano trasmetteva al PM di turno la CNR nella quale si dava atto
che:
Nella mattinata odierna, G.E.7, direttore dei sistemi informativi del Pio albergo Trivulzio di Milano, ha
presentato presso questo Compartimento una denuncia contro ignoti in seguito all’intrusione nella rete
aziendale del PAT avvenuta – si suppone – nel corso del fine settimana antecedente Ferragosto. Esattamente
quel giorno, dopo alcuni controlli operati per verificare alcuni malfunzionamenti denunciati da utenti esterni,
un amministratore di rete dell’azienda8 si accorgeva, accedendo da remoto, che qualcuno aveva volutamente
operato la cancellazione di tutte le informazioni raccolte nel sistema, sia quelle inerenti la gestione
amministrativa, sia quelli dell’attività sanitaria. Addirittura, durante l’intrusione sarebbero stati cancellate
perfino le copie di back-up e le password di accesso degli amministratori.
5 G.E. (direttore dei sistemi informativi del PAT) in data 18.8.2011, D.P. (responsabile organizzativo dell’Ufficio sistemi
informativi del PAT) in data 18.8.2011, M.G. (amministratore di rete dell’azienda e primo ad accorgersi da remoto in data 15.8.2011
dell’attacco informatico) in data 14.9.2011 ed in data 26.9.2011, B.P. (dipendente della L. Service, società erogante in outsourcing
servizi di configurazione e di assistenza sulla rete informatica dello stesso PAT all’epoca dei fatti oggetto di indagine) in data 18.8.2011
ed in data 14.9.2011 ed infine J.G.A. (componente del team informatico del PAT) in data 14.9.2011.
6 Hard Disk SEAGATE con seriale SVYA6E21 del taglio di 250 Gb rimosso da un PC assemblato di colore nero con matricola
39100721010786.
7 Cfr. anche dichiarazioni rese al PM in data 18.8.2011 ore 16.00 dallo stesso, il quale – dopo aver dichiarato che gli sembrava
trattarsi “più di un brutto dispetto da parte di qualcuno che conosca bene il sistema e che ha avuto dei problemi lavorativi con il
Trivulzio” – all’esito produceva una lista dei soggetti che “rientrano nella categoria sopra indicata” (tra i quali vi era anche
F.G.).
8 Trattasi di M.G.: cfr. le sue dichiarazioni allegate alla nota del 23 settembre 2011 e 29 settembre 2011.
37
S. ATERNO, F. CAJANI, G. COSTABILE, D. CURTOTTI
CYBER FORENSIC ED INDAGINI DIGITALI
Giappichelli Editore, 2021
Allo stato9, le uniche tracce rilevate dai tecnici del Trivulzio sono state una serie di connessioni registrate
durante la giornata di domenica 14 dal computer di M.G., uno dei tre amministratori di rete interni, lo stesso
che si è accorto dell’attacco lunedì mattina. Il M. aveva lasciato l’ufficio venerdì 12 e sarebbe andato in
vacanza a partire da martedì 16, quando gli altri due suoi colleghi avessero fatto rientro in ufficio. Il
rappresentate dell’azienda ha comunicato che la macchina del M. è già stata separata dalla rete, a
disposizione per gli opportuni controlli. Il direttore dei sistemi informativi ha pure precisato di aver già preso
contatti con l’assistenza del software adoperato dal PAT al quale è stata delegata anche tutta la registrazione
degli accessi alla loro rete per avere conferma della funzionalità del sistema
Si procedeva quindi 10 al sequestro della postazione informatica del M. (dalla quale sembrava essere partita
l’intrusione) nonché di un secondo computer utilizzato dalla squadra tecnica del PAT come file server (ossia
come repository di file 11).
Dal momento che emergeva fin da subito come la macchina del M. (lasciata volutamente accesa dal
medesimo per questioni tecniche 12) potesse essere stata indebitamente utilizzata da terzi – tramite
connessioni da remoto 13 – per consentire l’accesso alla rete del Pio Albergo Trivulzio (PAT), si procedeva
ad acquisizione dei file di log relativi agli indirizzi IP 14 del sistema TeamViewer (software che permette di
controllare qualunque personal computer da remoto attivando funzionalità di condivisione del desktop e
trasferimento dei file 15) tra le ore 14.00 di venerdì 12 agosto e le ore 14.00 del successivo lunedì 15.
La PG delegata procedeva altresì, nella giornata del 22 agosto 2011 16, ad una verifica in loco delle macchine
compromesse del PAT ed in particolare del cosiddetto “NAS1”, computer di file sharing (ossia: condivisione
dei file) dal quale sono stati cancellati tutti i volumi dati nonché – previa autorizzazione del PM ex art. 360
c.p.p – alla analisi delle stesse17 al fine di rinvenire tracce utili all’identificazione dell’agente: emergeva così,
in particolare, come verso tale macchina “NAS1” sia stata lanciata una procedura di teracopy18 il 13.8.2011,
non andata a buon fine per motivi sconosciuti.
Con decreto del PM del 6 settembre 2011 veniva altresì acquisita presso il PAT documentazione
potenzialmente utile al fine di ricostruire un ipotetico movente delle vicenda (ove, come poi successivamente
riscontrato, la stessa potesse collocarsi nell’ambito dei rapporti interni allo stesso PAT) e, in particolare:
“Documento Programmatico per la Sicurezza” di cui al D.lgs 196/2003;
elenco del personale assunto, con i relativi dati identificativi di ciascuno di essi e la data di
assunzione, a partire dal 2009;
9 Cfr. cronologia eventi prodotta da G.E. al PM in data 18.8.2011 ed effettuata dalla L. Service.
10 Cfr. nota del 19 agosto 2011.
11 Il termine file server si riferisce generalmente ad una macchina progettata per mettere a disposizione degli utilizzatori di una rete
di computer dello spazio su un disco (disco singolo o composto da più dischi) nel quale sia possibile salvare, leggere, modificare, creare
file e cartelle condivise da tutti, secondo regole o autorizzazioni che generalmente il gestore di rete organizza e gestisce.
12 Cfr. sit M. del 14.9.2011: “alcune volte mi scordavo la macchina accesa, nel caso di ferragosto l’ho tenuto acceso perché E.G.,
mio collega del Team Informatico, a fine pranzo di quel venerdì mi chiese di tenere aperta la sessione di ENCO che è il programma
della contabilità grafica che risiede sul server Ercole”. Sulla possibilità di utilizzo della sessione di ENCO da parte del F. vedi infra.
13 Cfr. denuncia di G.E.: “sebbene gli attacchi informatici subiti, siano iniziati sabato 13, e siano durati tutto il fine settimana,
abbiamo rilevato unicamente quelli avvenuti nella giornata di domenica … Abbiamo contattato il servizio di assistenza del programma
“TeamViewer”, che utilizziamo per controllare da remoto le macchine informatiche, gli addetti ci hanno confermato che è possibile
risalire agli I.P. delle connessioni avvenute …”.
14 Un Indirizzo IP è un numero che identifica univocamente nell’ambito di una singola rete i dispositivi collegati con una rete
informatica che utilizza lo standard IP (Internet Protocol). Ciascun dispositivo (router, computer, server di rete, stampanti, alcuni tipi
di telefoni, ...) ha, quindi, il suo indirizzo. Semplificando, un indirizzo IP può essere visto come l’equivalente di un indirizzo stradale
o un numero telefonico dei dispositivi collegati su internet. Infatti, così come un indirizzo stradale o un numero telefonico identifica
un edificio o un telefono, così un indirizzo IP identifica univocamente uno specifico computer o un qualsiasi altro dispositivo di rete o
una rete. A sua volta, in una rete possono essere utilizzati altri indirizzi IP validi localmente analogamente alla numerazione degli
interni di un edificio”: cfr. http://it.wikipedia.org/wiki/Indirizzo_IP. Gli indirizzi sono composti da 4 byte, una parte dei quali
identificano la rete e la restante parte il nodo all’interno della rete. Ogni byte è separato dagli altri con un punto e per questo gli indirizzi
IP hanno una struttura di questo tipo: 194.21.28.40. L’assegnazione dei numeri IP viene effettuata dall’ICANN, un ente americano che
li distribuisce, singolarmente o in blocco, ai richiedenti.
15 Cfr. www.teamviewer.com/it/index.aspx.
16 Cfr. nota del 23 agosto 2011.
17 Cfr. nota del 6 settembre 2011.
18 Trattasi di programma utilizzato per copiare grosse quantità di dati.
38S. ATERNO, F. CAJANI, G. COSTABILE, D. CURTOTTI
CYBER FORENSIC ED INDAGINI DIGITALI
Giappichelli Editore, 2021
contratto di collaborazione in essere dal 2002 al febbraio 2010 con il consulente informatico C.C.19;
contratto di collaborazione in essere dal 1998 al dicembre 2005 con il consulente informatico A.C.20;
contestazioni effettuate a carico dell’ex dipendente dei Sistemi Informativi F.A.21 dal giugno 2009 al
ottobre 2010 nonché di quelle eventualmente effettuate a carico dell’ex dipendente dei Sistemi
Informativi F.G22 dal 2004 al novembre 2006; documentazione relativa alle mansioni concretamente
svolte dai due suddetti ex dipendenti;
contestazioni disciplinari a carico di C.A.23, nonché di altri dipendenti/collaboratori a partire dal
2009 ad oggi;
contratto di collaborazione attualmente in essere con la società LAN service 24;
contratti relativi all’acquisto di forniture hardware/software a partire dal 2009 nonché delle
eventuali consulenze informatiche con soggetti o società terze in essere con l’Istituto disposte a
partire dal 2009 e/o ancora in essere alla data di notifica del presente provvedimento
relazioni tecniche interne attinenti agli accessi a sistemi informatici del PAT non autorizzati, avvenuti
nel gennaio 2006, nel ottobre 2010 e nel maggio/giugno 2011 (così come indicati dal dott. G. al PM
in data 18.8.2011);
relazioni tecniche interne relative all’attacco informatico denunciato il 17.8.2011, comprensiva di
eventuali relazioni sulle attività di recupero dei dati informatici presenti nei sistemi compressi;
Venivano successivamente acquisiti 25 anche gli hard disk del sistema informatico del PAT relativi alla
macchina denominata “PRESENZA-MACS”, che concentrava l’insieme delle timbrature, cioè i dati di
rilevazione e controllo delle presenze lavorative giornaliere all’interno dell’azienda (dal momento che B.P.
della L. Service aveva riferito che, nei giorni successivi l’attacco, aveva notato da parte di quella macchina un
elevato numero di connessioni potenzialmente sospette).
Con nota del 29 settembre 2011 la PG restituiva l’analisi forense degli HD sequestrati il 18 agosto scorso,
ed in particolare del computer in uso a M. (dal quale si ritiene sia avvenuta l’intrusione), analisi che
confermava come
l’attacco sarebbe avvenuto dal PC del M. (PATHD02), utilizzando il programma Team viewer, con l’ID
846389785;
l’intrusione è iniziata nel primo pomeriggio del 13 agosto (dalle ore 14.37), protraendosi almeno sino alle
11.14 di Ferragosto;
l’intruso possedeva probabilmente la password di accesso mancando tracce su altre modalità di accesso
al sistema;
l’intruso ha cercato di nascondere le tracce dell’attacco cancellando il log di Team Viewer con la modalità
“salva”, cioè aprendo il file di log, cancellando quanto vi era memorizzato e poi salvando il file vuoto.
[…]
Queste dunque le conclusioni della Polizia Postale, compendiate nella nota del 21 settembre 2012, sui primi
accertamenti di PG così come finora descritti:
Le investigazioni avviate da questo Compartimento sin dall’immediatezza la mattina del 17 agosto 2011, cioè
nel momento in cui G.E., all’epoca responsabile dei Sistemi informatici del PAT, denunciò il fatto, non solo
contribuirono a confermare l’iniziale ipotesi che la distruzione del sistema era stata causata da un attacco
all’infrastruttura informatica dell’azienda proveniente dall’esterno, ma permisero di realizzare soprattutto un
disegno della trama tecnica (modalità di accesso al sistema, cancellazione dei dati di memoria e successiva –
conclusiva – sovrascrittura delle tracce informatiche della intrusione – tentativo di copiatura) con cui questo
attacco era stato realizzato. I contenuti delle relazioni realizzate dal personale di questo Compartimento del
29 settembre e del 25 ottobre 2011 sintetizzano l’ordito di questa trama e sono essenziali sia alla sua esatta
comprensione sia per quanto riguarda i rilievi successivi fino all’identificazione finale del responsabile.
19Trattasi di nominativo emerso dalla lista depositata da G. il 18.8.2011.
20Trattasi di nominativo emerso dalla lista depositata da G. il 18.8.2011.
21 Trattasi di nominativo emerso dalla lista depositata da G. il 18.8.2011.
22 Trattasi, come già ricordato, di nominativo emerso dalla lista depositata da G. il 18.8.2011 ed in relazione al quale inizialmente
non erano emerse, dal racconto riferito da G., contestazioni disciplinari effettuate allo stesso.
23 Trattasi di nominativo emerso dalla lista depositata da G. il 18.8.2011.
24 Trattasi della società che forniva assistenza informatica al PAT all’epoca dei fatti.
25 Cfr. nota del 23 settembre 2011.
39S. ATERNO, F. CAJANI, G. COSTABILE, D. CURTOTTI
CYBER FORENSIC ED INDAGINI DIGITALI
Giappichelli Editore, 2021
Ascoltate le persone che potevano fornire elementi utili a ricostruire il quadro della organizzazione generale
del PAT e i dettagli sui momenti prossimi alla scoperta del fatto, in particolare gli appartenenti al gruppo di
gestione informatica (fra i quali non vi era F.), visionato direttamente tutti i luoghi interessati dalla vicenda –
in specie quelli ove erano fisicamente allocati server e computer – verificato quindi lo stato dell’infrastruttura
informatica e le modalità con le quali quest’ultima era stata annichilita, gli operatori di questo Compartimento
accertavano l’inesistenza di una qualsiasi traccia di natura classica. L’attacco al sistema informatico del PAT
era stato infatti realizzato esclusivamente per mezzo di vie telematiche e quello era l’unico cammino sul quale
poteva forse trovarsi qualche elemento utile.
Il problema inizialmente emerso era che prima di uscire dal sistema l’autore dell’azione criminosa,
dimostrandosi accorto, astuto e soprattutto preparato, si era premurato di cancellare anche le tracce
informatiche del suo accesso abusivo allorché si allontanava dall’infrastruttura del PAT. Queste tracce
sarebbero state le “impronte” lasciate dal suo passaggio e solo queste avrebbero potuto in qualche modo
tradirlo. Di qui la cancellazione, non solo dei dati, ma anche la distruzione parziale del sistema, per renderlo
inagibile ed evitare che una sua ricomposizione potesse far emergere queste “impronte”.
A parere di questo Compartimento, la modifica non necessaria di un file di log degli accessi da esterno (il
registro informatico degli accessi) che erano stati effettuati con il programma “team viewer”, si spiega con la
necessità di sviare la ricostruzione degli stessi accessi. Un esperto del settore sa che la mera cancellazione del
file sarebbe stata insufficiente perché una normale analisi tecnica lo avrebbe potuto recuperare. La modifica
del file, ad esempio con la riscrittura del suo contenuto, in caso di recupero avrebbe potuto portare gli
investigatori sulla “strada sbagliata”.
A tali fini, non è da sottacere la circostanza che l’analisi tecnica dell’azienda L. Service (che aveva all’epoca
un contratto di assistenza con il PAT) a seguito del suo intervento in modalità IRT (incident response team)
dopo l’attacco informatico, non rivelò dati utili per le indagini.
Ciononostante, di fronte all’impossibilità di seguire in quel momento strade diverse dall’indagine informatica,
questo Compartimento avviava una serie di complesse e laboriose analisi tecniche su diverse componenti
dell’infrastruttura informatica.
L’idea era stata quella di provare a ricomporre la configurazione degli hard disk che costituivano l’ossatura
dell’infrastruttura, cioè ricostruire le memorie informatiche del PAT compromesse dall’attacco per potervi
poi ricercare eventuali tracce estranee alla normale conduzione aziendale, riconducibili cioè all’attacco. In
altre parole restaurato il tracciamento delle operazioni informatiche giornalmente condotte nel sistema
informatico nel PAT si sperava di poter isolare e identificare così una traccia riferibile all’intrusione esterna
con la quale è stato sferrato l’attacco (cfr. Informativa di questo Compartimento del 23-09-2011 e
successivamente Relazione del 29-09-2011)”.
[…]
Così ancora l’annotazione della Polizia Postale del 21 settembre 2012:
Lo studio di questa catena di eventi ha permesso di giungere agli IP ed agli account di F., realizzando quindi
una sorta di chiusura del cerchio che si è conclusa ritornando al punto di origine, un dipendente dell’azienda,
già oggetto di procedimento disciplinare e che parrebbe aver avuto motivi di risentimento nei confronti almeno
di un suo dirigente (cfr note già trasmesse e sommarie informazioni rese al PM da G.).
Come già comunicato, il principale risultato della complessa analisi condotta sugli hard disk del PAT fu la
scoperta che per accedere all’infrastruttura informatica l’ignoto attaccante era “transitato” attraverso il
computer di M.G., uno dei tecnici impiegati presso l’azienda pubblica col compito di gestire la manutenzione
del sistema informatico. In quanto tale, M. era (è) in possesso di tutti i privilegi di amministratore, quindi di
tutte le password.
M. era anche il tecnico che aveva segnalato per primo l’attacco, poco dopo le undici del mattino di Ferragosto,
accortosi della scomparsa di tutti server virtuali dall’infrastruttura virtuale, dopo essersi collegato da remoto
col suo computer personale per una verifica di routine.
In partenza per le vacanze estive, il pomeriggio del 12 agosto M. se ne era andato dall’ufficio lasciando il
suo computer acceso. Era stato lui stesso a raccontarlo durante la sua prima escussione a sommarie
informazioni il 14 settembre 2011 in rientro dalle ferie: glielo aveva chiesto un collega impiegato come
analista (addetto alla statistiche) G.E., in modo da lasciare disponibile la sessione del programma “ENCO”,
un software destinato alla gestione della contabilità aziendale interna dell’istituto installato dai tecnici
dell’azienda, fra i quali lo stesso F., come emerge dalla dichiarazione difensiva che questi aveva presentato
nel corso del procedimento disciplinare a suo carico.
Lasciare aperto il collegamento con la Rete era un’abitudine consolidata che consentiva a M. di intervenire
anche da remoto in caso di problemi al sistema. Infatti la mattina di Ferragosto si era collegato dopo che
alcuni settori della struttura sanitaria avevano segnalato anomalie di funzionamento fin dal giorno prima.
L’intrusione era già cominciata il 13 e probabilmente l’attaccante aveva iniziato a cancellare i server virtuali.
40S. ATERNO, F. CAJANI, G. COSTABILE, D. CURTOTTI
CYBER FORENSIC ED INDAGINI DIGITALI
Giappichelli Editore, 2021
Come già indicato, per entrare nella infrastruttura l’attaccante aveva utilizzato il software noto col nome di
Team Viewer, un programma attraverso il quale chiunque può instaurare attraverso Internet un collegamento
per controllare il proprio computer a distanza operando da un altro computer ubicato in qualunque parte del
mondo, come se invece si trovasse davanti al suo. Si tratta dello stesso software adoperato da M. per lavorare
da remoto. Questo software risulta diffuso fra circa un centinaio di milioni di utenti ed è quindi utilizzato su
scala globale per finalità lecite trattandosi di un mezzo di utilità per persone e imprese.
L’installazione di Team Viewer sul personal computer di M. era, per stessa ammissione dell’interessato, un
fatto universalmente noto. Lo utilizzavamo perfino dei fornitori esterni che così si collegavano alla Rete dopo
avergli chiesto l’accesso. Una gestione per così dire molto “familiare” dell’infrastruttura come si può evincere
– ci troviamo sempre innanzi alle ammissione del tecnico – anche dalla password utilizzata: semplicemente
«trivulzio», quella forse adoperata anche dall’attaccante per accedere prima al computer di M. e poi all’intera
Rete aziendale. Da tenere in conto pure che M., peraltro, aveva conservato su almeno uno dei computer coi
quali lavorava in rete anche un file con l’intero elenco delle password di accesso ai tutti sistemi informatici
del PAT, con esclusione della password del server per i dati sanitari, che infatti non sono stati cancellati
durante l’attacco.
Accedere alla postazione di M. significava quindi avere la chiave di accesso a tutti i varchi del sistema, per le
varie macchine fisiche e virtuali componenti dell’infrastruttura, raggiungibili attraverso una semplice
connessione RDP (Remote Desktop Control), un protocollo Microsoft incluso nei pacchetti commercializzati
dall’azienda americana. Si tratta di un servizio che quando viene attivato permette di accedere alle risorse di
qualsiasi macchina dopo essere entrati nel computer principale al quale la prima risulta collegata, nel caso
di specie quello di M., dalla quale lui era abituato a controllare i server aziendali.
Come già ricordato, con nota del 29 settembre 2011 la Polizia Postale comunicava di aver trovato la traccia di
un collegamento Team Viewer, un ID identificato dalla stringa numerica «846389785». Paradossalmente,
poiché l’analisi tecnica condotta aveva rivelato che l’attaccante si era dato da fare per cancellare oltre ai
contenuti anche ogni traccia dell’attacco, sovrascrivendo anche i log del suo accesso in modo da renderli
irriconoscibili, questo ID veniva indicato come quella unica “impronta” dalla quale poter partire.
Nonostante l’ID Team Viewer «846389785» fosse collegato ad una versione free del software, scaricabile
anonimamente dalla Rete (e con possibilità di tracciamento, come già ricordato, del solo ultimo collegamento
registrato), la omonima società che commercializza il software Team Viewer collaborava pienamente alle
richieste della Autorità Giudiziaria rilasciando esaurienti chiarimenti a tutte le domande tecniche presentate
dal personale della Polizia Postale di Milano: si acquisiva così l’informazione secondo cui l’ID 846389785,
rinvenuto a seguito di analisi tecnica quale traccia dell’attacco, alle ore 11:30 circa del 15.08.2011 era
stato associato all’IP 109.203.115.70.
[...]
Così sempre la nota di PG del 21 settembre 2012:
A seguito di approfondimenti di routine, si chiariva che tale IP era nella disponibilità della società olandese
SolidHost, che fornisce servizi telematici. Di seguito ai primi contatti internazionali, si rendeva necessaria
una rogatoria verso l’Olanda, emessa […] il 16-12-2011 a seguito di richiesta di questo Compartimento del
15-12-2011.
Il 29.12.2011 si apprendeva dai canali di cooperazione di polizia che il server al quale corrispondeva l’IP
109.203.115.70, oggetto di indagine, era in effetti allocato nel Regno Unito ove risultava di proprietà della
britannica EUKHost, presso cui era stato preso in noleggio da SolidHost e pertanto era necessario acquisire
i dati telematici nel Regno Unito.
La risposta formale delle Autorità olandesi riporta il processo verbale dal quale sostanzialmente emerge:
– che SolidHost fornisce servizi internet basati su server fisici e virtuali, controllati dalla stessa azienda
(per conto dei clienti) o dai clienti stessi, che possono utilizzare i server per tutto ciò che vogliono sempre che
sia in rispetto della legge o delle policy che sono disponibili a www.solidhost.com/aup . Nei casi in cui sono i
clienti a gestire il server, SolidHost non vi ha diretto accesso;
– SolidHost ha la possibilità di sapere l’indirizzo IP dei clienti che richiedono servizi online. Nella maggior
parte dei casi, se l’ammontare del pagamento è basso, effettua un breve check per verificare che la
georeferenziazione dell’IP è compatibile con l’indirizzo di fatturazione e telefono fornito dal cliente. In caso
positivo accetta l’ordine senza ulteriori dettagli. In caso di dubbio, o per pagamenti rilevanti, richiede ulteriore
documentazione (come copia di foto identificativa etc.);
– che i clienti possono pagare con sistema Pay-Pal, carte di credito o bonifico bancario. SolidHost non è
autorizzata a trattenere dettagli di carte di credito. Per i pagamenti con carta di credito utilizza un servizio
esterno (www.2checkout.com) e quando un cliente vuole pagare con carta di credito è reindirizzato a questo
sito verso cui paga, per essere nuovamente reindirizzato a SolidHost quando il pagamento è fatto. 2checkout
41S. ATERNO, F. CAJANI, G. COSTABILE, D. CURTOTTI
CYBER FORENSIC ED INDAGINI DIGITALI
Giappichelli Editore, 2021
invia periodicamente le somme raccolte sul conto corrente di SolidHost sottraendo la commissione; pertanto
non c’è visibilità sui numeri delle carte di credito. Quando il cliente paga con PayPal o bonifico bancario
SolidHost non conserva l’ID e il numero di conto corrente o ID PayPal nel proprio database. I dati dei clienti
e le fatture sono memorizzati in un database il cui accesso è riservato al solo personale di SolidHost oltre che
agli stessi clienti attraverso il portale online;
– che SolidHost non detiene alcun dato. L’indirizzo IP è tenuto in un server a Londra che è stato preso a
noleggio dal partner nel Regno Unito EUKHost e rivenduto al cliente come intero. In altre parole SolidHost è
l’elemento di mezzo senza avere alcun accesso al server. I clienti pagano SolidHost che a sua volta paga
EUKHost. Anche quando i clienti hanno dei problemi questi vengono girati ad EUKHost, SolidHost non ha
alcun accesso fisico o virtuale al server.
Risultava pertanto necessaria una richiesta di assistenza giudiziaria verso le Autorità britanniche, per
acquisire il traffico telematico relativo all’IP 109.203.115.70 nel periodo di tempo riferibile all’attacco,
inviata per i canali di cooperazione di polizia, per la quale il 23 marzo 2012 l’Interpol britannico faceva
sapere che era stata approvata dall’Autorità centrale ed assegnata alle forze di polizia (SOCA).
Si è scoperto quindi che i server di EUKHost sono di proprietà di altra società britannica PoundHost, verso
la quale si sono svolte le attività di analisi degli esperti del SOCA.
Le attività svolte nel Regno Unito hanno fatto comunque ritornare le indagini in Olanda.
Infatti le attività svolte unitamente al SOCA britannico hanno evidenziato che la catena degli eventi prevede
un ulteriore passaggio: l’attaccante ha nascosto il suo IP utilizzando un servizio di anonimizzazione offerto
online dalla società olandese PROXPN, che gli ha così consentito di presentarsi sulla Rete con IP diversi
dal suo, tra i quali il 109.203.115.70.
Più specificatamente e come ben evidenziato nella nota di PG del 3 agosto 2012, dall’analisi ad opera del
SOCA del server di PoundHost è emerso come al fine di collegarsi all’IP 109.203.115.70 l’utente avrebbe
utilizzato il software della società PROXPN26 che utilizza le macchine di EUKHost.
[…]
Così sempre la nota della Polizia Postale del 21 settembre 2012:
In questa fase si coglie l’occasione per mettere in luce la preziosa collaborazione che la Cyber Crime Unit del
SOCA ha prestato dopo essere stata incaricata di dare corso alle richieste di collaborazione per analizzare i
server di EUKHost/PoundHost. Nel corso dell’analisi gli agenti hanno trovato non solo l’IP in questione
ma anche altre serie di IP che iniziavano con 213 e 109, riconducibili proprio a PROXPN, cioè ad altri
utilizzi, nel contesto di indagine, del servizio di anonimizzazione.
Nel corso di queste attività operative, questo Compartimento veniva in contatto col il referente tecnico di
PROXPN in Olanda27, che il 6 agosto u.s., rispondendo alla richiesta di questo Ufficio, ha inviato la lista
integrale degli utenti che avevano utilizzato il servizio VPN dalla macchina inglese sotto analisi (per gli
indirizzi IP con classe 109.203.115 a partire da 001) per il periodo compreso tra il 12 ed il 15 di agosto 2011,
cioè i giorni comprendenti l’attacco oggetto di indagine.
La lista contiene tutti gli IP di PROXPN utilizzati su scala globale che in quei giorni si erano connessi al
server di EUKHost sfruttando i servizi di anonimizzazione. Da questa lista questo Compartimento ha
estrapolato quelli riferibili ad utenti italiani (per classi di IP, userID e provider di servizi di posta elettronica)
come già segnalato il 7 agosto28 ai fini della richiesta di decreto per l’identificazione degli account e per
l’acquisizione del traffico telematico.
Nelle more dell’acquisizione di questi dati, emergeva altresì che uno degli account di posta elettronica di
registrazione contenuti nella citata lista, quello denominato xxxxx@yahoo.it, risultava riferibile alla persona
di F.G., quale suo contatto e-mail utilizzato pubblicamente sul web29.
26 Sui collegamenti tra PROXPN e SolidHost cfr. sempre la nota del 3 agosto 2012: “Vi è il sospetto che PROXPN sia strettamente
collegata (in senso societario) con SolidHost, in un rapporto non solo meramente commerciale come emergeva dall’esito della prima
rogatoria effettuata in Olanda. Ciò emerge sviluppando con whois domain database il sito web di proxpn.org che riporta il collegamento
proprio con SolidHost”.
27 BALL Kent, n.m.i.
28 Cfr. nota agli atti avente pari data.
29 Vedi all. 2 alla nota del 7 agosto 2012.
42S. ATERNO, F. CAJANI, G. COSTABILE, D. CURTOTTI
CYBER FORENSIC ED INDAGINI DIGITALI
Giappichelli Editore, 2021
Come evidenziato nella relazione allegata, le connessioni di xxxxx@yahoo.it registrate da PROXPN sono le
uniche compatibili sia con l’intero periodo dell’attacco, che si presume realizzato tra il 13 e il 15 agosto 2011,
sia con le singole connessioni remote effettuate sul computer di M.
Grazie a questa ricostruzione, rileggendo i dati recuperati dalle macchine attaccate con i nuovi elementi raccolti
in campo internazionale, gli operatori di PG sono riusciti a scoprire ulteriori sessioni di accesso remoto
effettuate dal numero ID Team Viewer «846389785» riconducendo a questo ID tutti gli attacchi effettuati
sia tramite l’IP della classe 109.203.115.xx sia tramite gli altri IP utilizzati per coprire la provenienza e
ricevuti da PROXPN.
Nella seguente tabella indicata dalla Polizia Postale nella nota del 21 settembre 2012, si riportano le specifiche
delle singole sessioni, ritrovate nell’hard disk del Pio albergo Trivulzio in uso a M.30 a seguito della ricezione
dell’elenco degli IP connessi con l’ID di Team Viewer (riferiti all’attacco):
collegamento inizio fine
13 ago 2011 16.37 16.37 213.179.212.76
13 ago 2011 16.45 16.46 213.179.212.76
13 ago 2011 16.47 17.30 213.179.212.76
13 ago 2011 19.09 21.37 109.203.115.89
13 ago 2011 22.45 02.31 109.203.115.71
14 ago 2011 02.39 03.02 213.179.212.122
14 ago 2011 03.05 03.29 173.231.157.74
14 ago 2011 03.42 04.23 109.203.115.66
14 ago 2011 19.33 20.51 109.203.115.109
14 ago 2011 21.11 21.42 109.203.115.109
14 ago 2011 22.10 22.11 213.179.212.70
14 ago 2011 23.47 23.47 213.179.212.69
15 ago 2011 01.38 01.47 173.0.5.51
Di seguito, la tabella sintetica delle connessioni realizzate dall’account di F. durante quell’operazione (gli orari
sono ancora quelli americani):
INIZIO connessione FINE connessione
xxxxx@yahoo.it 13 ago 2011 08:27 13 ago 2011 10:16 85.88.202.118
xxxxx@yahoo.it 13 ago 2011 13:09 13 ago 2011 15:37 85.88.202.118
xxxxx@yahoo.it 13 ago 2011 16:44 13 ago 2011 20:31 85.88.202.118
xxxxx@yahoo.it 13 ago 2011 21:02 13 ago 2011 21:04 85.88.202.118
xxxxx@yahoo.it 13 ago 2011 21:41 13 ago 2011 22:24 85.88.202.118
xxxxx@yahoo.it 14 ago 2011 05:08 14 ago 2011 05:11 85.88.202.118
xxxxx@yahoo.it 14 ago 2011 05:35 14 ago 2011 06:36 85.88.202.118
xxxxx@yahoo.it 14 ago 2011 08:05 14 ago 2011 09:43 85.88.202.118
xxxxx@yahoo.it 14 ago 2011 13:31 14 ago 2011 15:58 85.88.202.118
xxxxx@yahoo.it 15 ago 2011 05:32 15 ago 2011 05:43 85.88.202.118
xxxxx@yahoo.it 15 ago 2011 17:15 15 ago 2011 17:22 85.88.202.118
30 Cfr. annotazione di PG del 29.9.2011 in relazione all’HD identificato come PATHD02 (all’interno del quale la PG ha ritrovato
il log del programma Team Viewer).
43S. ATERNO, F. CAJANI, G. COSTABILE, D. CURTOTTI
CYBER FORENSIC ED INDAGINI DIGITALI
Giappichelli Editore, 2021
Il confronto delle sole connessioni attuate con indirizzi di classe IP 109.203.115 ricavate dal recupero dei dati
appena menzionato nell’hard disk del Trivulzio in uso a M. con la lista di connessioni fornite da PROXPN
relativamente all’account xxxxx@yahoo.it conduce alla seguente ultima tabella:
Orario connessioni al servizio VPN Orario connessioni con Team Viewer
(account xxxxx@yahoo.it) (recupero dati dell’analisi al PAT)
Data Inizio Fine Inizio Fine IP (di copertura)
13 ago 2011 19:09 21:37 19.09 21.37 109.203.115.89
13 ago 2011 22:44 02:31 22.45 02.31 109.203.115.71
14 ago 2011 03:41 04:24 03.42 04.23 109.203.115.66
14 ago 2011 11:08 11:11 11.10 11.10 109.203.115.95
14 ago 2011 11:35 12:36 11.42 12.16 109.203.115.80
14 ago 2011 19:31 21:58 19.33 21.42 109.203.115.109
Come ben indicato dalla Polizia Postale sempre nella nota del 21 settembre 2012, questa assoluta coincidenza
dei collegamenti temporali riscontrati in due situazioni diverse, gli uni provenienti dalle registrazioni dei
log olandesi di PROXPN, gli altri dai dati presenti nell’hard disk del PAT recuperato ed in uso al M.,
riaggregati ed analizzati alla luce delle ultimissime risultanze, dimostra in maniera inequivocabile che
l’utilizzatore della casella di posta elettronica xxxxx@yahoo.it, collegatosi ai servizi di PROXPN
attraverso l’IP 85.88.202.118, è certamente l’attaccante che – previo accesso abusivo – ha danneggiato il
sistema informatico del Pio albergo Trivulzio operando durante i giorni 13, 14 e 15 agosto 2011.
Come indicato dalla Polizia Postale31, l’IP 85.88.202.118 rientra in un range di otto indirizzi che F. ha in
affitto, fin dal 2007, da Lineacom Srl, società di servizi informatici del Comune di Pavia. Non è chiaro lo
scopo al quale questi indirizzi telematici siano destinati ma sembrerebbero in qualche modo rivolti ad una sorta
di web hosting sebbene le verifiche in Rete non hanno potuto riscontrare con certezza l’esistenza di questa
pratica commerciale.
Il responsabile di Lineacom Srl ha riferito di non possedere il traffico telematico dell’IP 85.88.202.118
trattandosi di IP fisso stabilmente assegnato all’utente. Le connessioni a PROXPN effettuate da F. potrebbero
pertanto eventualmente emergere a seguito di analisi dei suoi computer ma va comunque evidenziato un
ulteriore elemento di assoluta importanza nel quadro accusatorio: a seguito dell’acquisizione dei files di log
presso il gestore “yahoo” risulta che tra il 25 e il 28 agosto 2011 e tra il 19 e il 21 novembre 2011 F.G. ha
consultato la casella di posta elettronica xxxxx@yahoo.it anche passando proprio per i servizi di PROXPN.
GRAVI INDIZI di COLPEVOLEZZA
Gli elementi raccolti dall’Ufficio del PM e sopra illustrati nella loro progressiva sequenza temporale e
concatenazione logica denotano un pregnante quadro indiziario a carico dell’indagato F.G. quale autore
del contestato accesso abusivo da remoto con ID 846389785 al sistema informatico del PAT protetto da misure
di sicurezza.
Detti elementi si desumono in particolare dalle sopra citate informative32 della Polizia di Stato –
Compartimento Polizia Postale e delle Comunicazioni per la Lombardia – riepilogative delle complesse
indagine tecniche condotte fin dal 17.8.2011 (data della denuncia contro ignoti sporta da G.E., direttore dei
sistemi informativi del PAT) ed ininterrottamente (in un complicato dedalo informatico percorso a ritroso
grazie al prezioso filo d’Arianna costituito dall’unica individuata traccia lasciata in occasione dell’attacco
informatico) fino alla recente individuazione di F.G., quale autore dell’accesso abusivo alla rete informatica
del PAT di data 13 – 15.8.2011.
31 Cfr. nota del 17.8.2012.
32 Vedi in particolare quelle di data 21.9.2012 – 29.9.2011 – 3.8.2012 e 17.8.2012.
44S. ATERNO, F. CAJANI, G. COSTABILE, D. CURTOTTI
CYBER FORENSIC ED INDAGINI DIGITALI
Giappichelli Editore, 2021
Detta traccia è costituita dall’ultimo log dell’accesso remoto di data 15.8.2011 la cui analisi ha consentito di
affermare che l’intrusione è stata realizzata per mezzo di “Team Viewer”, particolare software utilizzato per
accedere e controllare altri computer da remoto attraverso codici di accesso.
La compagnia tedesca proprietaria di questo software (“Team Viewer”), su richiesta della Polizia italiana, ha
decifrato il proprio log rivelando che quell’accesso era giunto dall’indirizzo IP 109.203.115.70 risultato
appartenere a EUkHost, una società britannica che fornisce servizi web acquistabili direttamente dal suo
sito in Rete. A seguito della prima richiesta rogatoriale, la Polizia britannica informava questo Ufficio che
EUkHost aveva affittato l’IP 109.203.115.70 a SolidHost, azienda olandese di Rotterdam.
Successivi accertamenti effettuati in via di cooperazione internazionale confermavano che detta società
olandese (SolidHost) aveva affittato l’IP 109.203.115.70 da EUKHost. Peraltro emergeva che i relativi server
si trovavano nel Regno Unito con la conseguente impossibilità per SolidHost di procedere al controllo o alla
copia dei dati presenti nell’archivio informatico per la ricerca dei log attinenti le investigazioni.
Il SOCA britannico, avuto accesso ad EUKHost, identificava un’altra azienda, materiale proprietaria del
server (PoundHost, ubicata in Gran Bretagna) ed otteneva un nuovo mandato dalla Pubblica accusa allo scopo
di ricevere informazioni da questa ulteriore azienda. Questa attività tecnica ha alla fine ricondotto le
investigazioni verso i Paesi Bassi.
Al termine di queste attività condotte in collaborazione con il SOCA, è stato scoperto che l’indirizzo IP
109.203.115.70 formalmente appartenente a EUKHost, in realtà è stato noleggiato a SolidHost ma è
gestito da PROXPN, azienda olandese che offre servizi internet (per esempio nascondere gli indirizzi IP di
provenienza dei propri clienti) contattatabile on-line (www.proxpn.com).
Esistono alter tre indirizzi IP riguardanti PROXPN (sebbene appartenenti a SolidHost) utili per le
investigazioni, indirizzi adoperati per l’attività criminosa e rintracciati in un computer delle vittime dopo
un’analisi tecnica:
213.179.212.xxx 173.0.5.xxx 173.231.157.xxx
Deve quindi convenirsi con quanto affermato dal PM e cioè che gli autori del crimine si sono collegati a
PROXPN per scaricare il programma offerto on-line da questa azienda grazie al quale hanno avuto poi
l’opportunità di nascondere il loro IP originale ricevendo un temporaneo IP “pulito” (compreso nella
serie 109.203.115.xxx, 213.179.212.xxx, 173.0.5.xxx, 173.231.157.xxx), dopodiché – utilizzando questo IP
coperto – hanno realizzato l’attacco criminale alla rete informatica del PAT ed ai relativi archivi elettronici. Il
meccanismo trova sostanziale conferma dalla perfetta sequenza cronologica degli avvenimenti e delle
connessioni rinvenute nel computer dell’azienda.
Successivamente veniva acquisito da PROXPN (grazie alla cooperazione internazionale condotta unitamente
al SOCA britannico ed alla polizia olandese) un dettagliato elenco riportante i dati del traffico telematico
in entrata sull’IP 109.203.115.70 di PROXPN tra il 12 ed il 15.8.2011.
Dalla disamina delle connessioni ivi elencate emergevano anche ripetuti collegamenti (nelle tre giornate di
interesse: 13, 14 e 15 agosto 2011) da parte di alcuni utenti che per denominazione (sabatini.ruby@gmail.com
– xxxxx@yahoo.it – forzaitalia@comcast.net) risultavano riferibili ad utenti italiani.
Da una analisi sul web era possibile individuare sul sito xxx.it il riferimento della e-mail xxxxx@yahoo.it al
nominativo di F.G. (indirizzo via ….. con telefono …..). Nominativo e riferimenti corrispondenti a quelli di
F.G., dipendente del PAT.
Le ulteriori conferme ricavabili dall’analisi incrociata dei dati relativi alle connessioni al servizio VPN con
account xxxxx@yahoo.it ed alle connessioni con Team Viewer come ricavati dal recupero dei dati presso il
PAT consentono di affermare in questa fase (stante l’assoluta coincidenza dei collegamenti temporali
riscontrati) che l’utilizzatore della casella di posta elettronica xxxxx@yahoo.it, collegatosi ai servzi di
PROXPN attraverso l’IP 85.88.202.118, è il soggetto attaccante che ha effettuato l’accesso abusivo nel sistema
informatico del PAT e lo ha quindi danneggiato mediante cancellazione dei dati ivi inseriti.
Risulta infine (a chiusura del cerchio) da ultime acquisizioni investigative che l’IP 85.88.202.118 rientra in un
range di otto indirizzi che F.G. ha in affitto dal 2007 da Lineacom Srl, società di servizi informatici del
Comune di Pavia.
45S. ATERNO, F. CAJANI, G. COSTABILE, D. CURTOTTI
CYBER FORENSIC ED INDAGINI DIGITALI
Giappichelli Editore, 2021
Detto compendio indiziario (già di per sé grave) acquista ulteriore forza e pregnanza se si considera che detto
F.G. (attualmente impiegato in PAT presso la direzione Economica e Finanziaria) dal 2004 al 2006 ha
lavorato nell’Ufficio Sistemi Informativi dello stesso PAT, occupandosi per un certo periodo anche della
gestione diretta della rete aziendale partecipando attivamente alla costruzione dell’architettura e delle
infrastrutture.
Dagli elementi raccolti nel corso delle indagini e sopra illustrati può certamente trarsi un grave quadro
indiziario a carico di F.G. in ordine al delitto di cui agli artt. 81, 61 n° 11, 615 ter commi 1, 2 e 3 c.p. indicato
nell’imputazione preliminare.
Successivamente si è celebrato, con rito ordinario, il relativo processo che ha portato alla condanna
dell’imputato alla pena di anni 3 mesi 3 di reclusione33.
Ci si trovava di fronte ad una aggressione informatica di particolare gravità che ha determinato la perdita
di una gran mole di dati, anche sanitari, relativi alle attività dell’ente pubblico Pio Albergo Trivulzio
(PAT) ed, in particolare, dei dati allocati sui 49 server virtuali e dei backup primari e secondari, pari a circa 3
Tera di dati: tali dati, seppur poi in gran parte successivamente recuperati, hanno in ogni caso cagionato un
danneggiamento del sistema informatico del PAT con contestuale interruzione parziale del suo funzionamento
e, con esso, di alcuni servizi resi all’utenza nei giorni successivi al Ferragosto 2011.
Vediamo nel prosieguo di mettere meglio a fuoco alcuni passaggi tecnico-investigativi fondamentali34,
secondo quanto è stato anche confermato dalla complessiva (e faticosa) istruttoria dibattimentale.
Come già ricordato, la polizia giudiziaria è stata in grado di restituire l’analisi forense degli HD
sequestrati il 18 agosto 2012, ed in particolare del computer in uso a G.M. (dal quale si ritiene provata
che sia avvenuta l’intrusione), analisi che confermava come
− l’attacco sarebbe avvenuto dal PC del M. (PATHD02), utilizzando il programma Team Viewer,
con l’ID 846389785 (come da risposta pervenuta dalla società produttrice, qui di seguito riportata):
− l’intrusione è iniziata nel primo pomeriggio del 13 agosto (dalle ore 14.3735 circa), protraendosi
almeno sino alle 11.1436 circa di Ferragosto;
− l’intruso possedeva la password di accesso mancando tracce su altre modalità di accesso al
sistema:
33 Sentenza tribunale di Milano, n. 6993/20013 – est. Cotta. Confermata in Appello e passata in giudicato.
34 Si farà da ora riferimento alla memoria di udienza del Pubblico Ministero Francesco Cajani depositata in sede di requisitoria e,
per essa, ad alcuni passaggi delle relative trascrizioni di udienza.
35 Orario UTC (GMT): sul punto vd. infra le considerazioni a commento esame consulente tecnico di parte.
36 Orario UTC (GMT).
46S. ATERNO, F. CAJANI, G. COSTABILE, D. CURTOTTI
CYBER FORENSIC ED INDAGINI DIGITALI
Giappichelli Editore, 2021
(teste GRANZIERA - ud. 8.7.2013, pp. 116 ss.)
P.M. – Va bene, quindi questo è il primo passaggio tecnico, poi... sto andando alle conclusioni, dite che
appunto l’attacco è avvenuto dal computer di M., poi non ci sono tracce di attacchi al programma.
TESTE GRANZIERA – No, assolutamente.
P.M. – E da qui fate dedurre una conclusione, che vorrei che però l’argomentasse meglio, cioè voi
scrivete “Pertanto l’attaccante aveva a disposizione la password”.
TESTE GRANZIERA – Certo.
P.M. – Spieghiamo meglio questo risultato?
TESTE GRANZIERA – Allora, TeamViewer è un notissimo programma per l’amministrazione remota dei
sistemi, viene utilizzato sia a scopo commerciale che a scopo privato.
La rete TeamViewer è una rete un po’ particolare, a dispetto delle altre tipologie di connessione remote,
ad esempio VPN, la Software House che l’ha creato ha inventato, se possiamo dire, una metodologia di
accesso con ID univoco, ed username univoco. Se come nel nostro caso il TeamViewer, quindi il
programma ha due... parentesi, il programma ha due tipologie di installazione o l’installazione è
istantanea, quella che scarica e fa partire direttamente il programma ed in quel momento viene assegnato
un ID ed una password che è generata in maniera randomica; se invece come nel nostro caso è installato
come servizio, perché appunto veniva utilizzato anche in altre maniere dal M., il programma rimane
generalmente in memoria, il Pc rimane acceso con il programma che è attivo, per cui l’ID non cambia.
Dal momento che è stata eseguita la prima installazione non esiste più, non viene più cambiato l’ID, si
può cambiare la password, questo sì, però non esiste riuscire ad accedere alla macchina da remoto
passando per questo sistema di autenticazione, anche perché l’autenticazione non è eseguita direttamente
sulla macchina client, ma viene eseguita su un server che il più vicino è quello in Germania, poi ce ne
sono altri sparsi in giro per il mondo. Avuta l’autenticazione al server il server fa la chiamata verso il
client che risponde in modo tale da poter dare l’accesso al sistema client, ed in questo modo o si sa la
password o si conosce la password o non si conosce, perché l’accesso avviene comunque in maniera
diretta nel nostro caso, non è un tentativo di accesso tramite brute force, che sono attacchi particolari
che vengono eseguiti, non vi è la presenza di questa tipologia di attacco, vi è proprio un accesso diretto
alla macchina.
− l’intruso ha cercato di nascondere le tracce dell’attacco cancellando il log di Team Viewer con
la modalità “salva”, cioè aprendo il file di log, cancellando quanto vi era memorizzato e poi
salvando il file vuoto.
Quest’ultima circostanza restituisce un importante dato comportamentale dell’autore del contestato reato:
sicuramente esperto in informatica, sapeva che una mera cancellazione del file di log avrebbe creato sospetti
negli investigatori (in quanto ogni programma informatico, di regola, tiene traccia delle proprie operazioni37
e quindi una assenza di tal genere di file sarebbe fin da subito parsa inusuale) e portato ad un tentativo di
recupero del file in ipotesi cancellato (sempre possibile laddove non si proceda alla sua distruzione con
tecniche cd. di wiping)38.
Da qui l’idea di far sparire le proprie tracce operando in una maniera differente39, ossia cancellando il testo
interno al file di log e procedendo poi al salvataggio del file (così diventato) vuoto (salvo il suo “messaggio
di beffa”, di cui si dirà). Ma tale tentativo, per quanto raffinato, non è stato in grado di vanificare la possibilità
37 Ed in effetti, come noto, nella lingua inglese il termine log indica il diario di bordo di una nave, ma viene applicato estensivamente
anche ad altri veicoli e macchine tra cui il computer. Nel gergo informatico, “loggare” (da verbo inglese to log) significa registrare
all’esito di una attività di monitoraggio e quindi il log file (o file di log) è il risultato di tale operazione, che assume la forma di un file
(di testo) nel quale vengono appunto indicate le operazioni che l’utente compie durante la sua sessione di lavoro.
L’opportunità di operare un tale monitoraggio può derivare da molteplici esigenze, tecniche (in caso di errore di un programma
informatico, è necessario sapere le operazioni compiute dallo stesso nel momento immediatamente precedente), statistiche ed
ovviamente di sicurezza (interna ed esterna).
38 Trattasi infatti di procedura informatica particolarmente complessa e di non breve durata, idonea alla cancellazione in via
permanente di un file.
39 Cfr. teste CARBONE, ud. 8.7.2013, p. 45.
47Puoi anche leggere
